Momentan rappelt es mal wieder in Punkto Hacks und Cyberangriffen oder infizierte Apps. So wurden mit Trojanern versehene App-Versionen der Messenger Signal und Telegram im Google Play Store gefunden. Der Online-Shop des Möbelhauses Seegmüller war vom 1.9.2023 bis zum 2.9.2023 (Mittags) offline, was mit Wartung begründet wurde. Weiterhin ist es Cyberangreifern gelungen, Ransomware auf Kundensystemen des Cloud-Monitoring-Anbieters Logicmonitor zu installieren. Ursache waren wohl schwache Passwörter. Und die deutsche Kartographiebehörde wurde durch chinesische Cyberangreifer gehackt. Hier ein Abriss aktueller Cyber-Meldungen.
Anzeige
LogicMonitor-Kunden kompromittiert
LogicMonitor ist die laut eigenen Angaben führende SaaS-basierte Plattform für IT-Abteilung von Unternehmen und Anbieter von verwalteten Diensten, um IT-Systeme zu überwachen. Die Woche bestätigte LogicMonitor, dass einige Nutzer seiner SaaS-Plattform bereits vorige Woche Opfer von Cyberangriffen geworden seien. Laut Bleeping Computer betrifft der Angriff nur eine "kleine Anzahl" von Nutzern.
Gegenüber Bleeping Computer bestätigt LogicMonitor zwar keine Ransomware-Angriffe auf die betroffenen Kunden. Anonyme Quellen, die mit den Vorfällen vertraut sind, haben Bleeping Computer gegenüber angegeben, dass die Bedrohungsakteure Kundenkonten hackten und "in der Lage waren, lokale Konten zu erstellen und Ransomware zu installieren".
Laut diesen Quellen soll die Ransomware mithilfe der LogicMonitor Collector-Sensoren der Plattform installiert worden sein. Diese Sensoren überwachen vor Ort die Benutzerinfrastruktur und verfügen wohl auch über Skriptfunktionen. Die Bedrohungsakteure sollen dabei Skripte von der Cloud-basierten Plattform aus eingesetzt haben, die dann auf die Collectors vor Ort übertragen und dort ausgeführt wurden.
Obigem Tweet und diesem Beitrag von Golem entnehme ich, dass wohl schwache Passwörter der Grund waren, dass die Angreifer die Ransomware auf den Kundensystemen installieren konnten. Golem bezieht sich auf diesen Techcrunch-Artikel.
Cyberangriff auf Segmüller oder nur Wartung?
Momentan ist der Online-Shop des Möbelhauses Segmüller offline. Auf segmueller.de wird mir aktuell (2. Sept. 2023, 9:12 Uhr) nur der Hinweis angezeigt, dass der Shop sich gerade im Wartungsmodus befindet.
Klingt harmlos und Wartungsarbeiten sind auch schon mal fällig, zumal Monatsanfang und Wochenende ist. Aber ich bin auf den nachfolgenden Tweet von ransomwaremap gestoßen, die doch einen Cyberangriff als Ursache für die Wartungsarbeiten vermuten lässt.
Anzeige
Der obige Tweet zeigt eine Gateway Timeout Meldung 504 an, die mitteilt, dass der Server nicht erreichbar sei. Die Meldung kommt von Link11, einem Anbieter, der auf IT-Sicherheit für Webdienste spezialisiert ist. Der Tweet wurde zum 1. September 2023 gegen 6:34 Uhr abgesetzt, und nun sind wir 24 Stunden weiter. Der Online-Shop ist immer noch im Wartungsmodus. Das kann natürlich eine kaputte Datenbank, eine geplante Wartung wegen Software-Umstellung oder was anderes sein. Eine Bestätigung eines Cyberangriffs gibt es auf der Seite nicht – der Vorgang lädt aber zu Spekulationen ein. Ergänzung: Zum 2. September 2023, 13:50 Uhr, läuft der Shop wieder – daher ist es wohl eher kein Cyberangriff, auf der Seite des Unternehmens findet sich auch nichts.
Infizierte Apps von Signal und Telegram
Sicherheitsforscher von ESET sind im Google Play Store auf gefälschte Apps von Signal und Telegram gestoßen und haben die Kampagne mit BadBazaar bezeichnet. Die Kampagne wird von der aus China stammenden APT-Gruppe GREF ausgeführt und zielt auf die Volksgruppe der Uiguren ab.
Laut obigem Tweet muss sich der Benutzer bei "Trojanized Signal" über die legitime Signal-Funktionalität anmelden. Nach der Anmeldung beginnt "Trojanized Signal", mit seinem Command-and-Control-Server (C&C) zu kommunizieren. Das Gleiche passiert wohl auch beim Telegram Messenger. Details finden sich in diesem Beitrag.
Deutsche Kartographiebehörde gehackt
Weiterhin wurde die deutsche Kartographiebehörde nach verschiedenen Medienberichten durch Cyber-Spione gehackt. Hinter dem Angriff sitzen wohl staatliche Akteure aus China, die private Router und Internet-Sitzungen. Der österreichische Standard hat das Ganze (zusammen mit deutschen Medien wie Spiegel Online, deren Beiträge aber hinter Paywalls stecken) in diesem Artikel aufbereitet. heise hat in diesem Artikel ebenfalls einige Details zusammen getragen.
Noyb und der Kampf für Datenschutz
Abschließend noch zwei Informationssplitter von der Organisation noyb, die sich rund um Max Schrems für Datenschutz innerhalb der EU einsetzen.
In obigem Tweet und diesem Artikel weisen sie darauf hin, dass der Anbieter Fitbit die DSGVO nicht einhält und Daten unzulässigerweise in die USA transferiert. Das beliebte Gesundheits- und Fitnessunternehmen (wurde 2021 von Google übernommen) zwingt neue App-Nutzer dazu, den Datentransfers in Länder außerhalb der EU zuzustimmen.
Entgegen der gesetzlichen Vorgaben hätten die App-Nutzer nicht einmal die Möglichkeit, ihre Zustimmung zu widerrufen. Stattdessen müssen sie ihr Konto vollständig löschen, um die illegale Verarbeitung zu stoppen. noyb hat daher drei Beschwerden gegen Fitbit in Österreich, den Niederlanden und in Italien eingereicht.
Bereits Mitte August 2023 hatte noyb in diesem Beitrag darauf hingewiesen, dass Firmen und Behörden seit 23 Jahren illegaler Weise Daten in die USA übertragen. Angeprangert werden untätige Datenschutzaufsichtsbehörden und vom EuGH als unzulässig eingestufte EU-US-Datenschutzabkommen, die diesen illegalen Datentransfer persönlicher Nutzerdaten von EU-Bürgern ermöglichen.
Die 23 Jahre ergeben sich aus dem Umstand, dass die Urteile sich auch auf die Vergangenheit beziehen und seit 2000 kein gültiges Datenschutzabkommen mit den USA bestehe.
2015
